المعرفة هي واحدة من أهم قيم المؤسسة في ضمان استمرارية العمل. في حالة ضياع العديد من الأصول ، فإن المعلومات المفقودة ليس لها معادل نقدي. لهذا السبب ، في ظل الظروف المتغيرة والمتطورة اليوم ، تزداد أهمية المعلومات وضرورة الحماية تدريجياً. المعلومات؛ يمكن استخدامه وتخزينه في الكتابة والوسائط الإلكترونية والشفوية وذاكرة الموظف والعديد من التنسيقات الأخرى. بسبب التقدم التكنولوجي ، قد تتغير أو لا تتغير العديد من أشكال الاستخدام هذه مع مرور الوقت. بسبب هذا التغيير والتطور ، يحتاج أمن المعلومات إلى التساؤل والتحكم باستمرار. أمن المعلومات هو حماية سرية وسلامة المعلومات وسهولة استخدامها.
نظام إدارة أمن معلومات ISO 27001 هو نظام إدارة يتضمن الأشخاص والعمليات وأنظمة المعلومات في توفير أمن معلومات الشركة ويدعمه الإدارة العليا. وهي مصممة لحماية أصول المعلومات وتوفير ضوابط أمنية كافية ومتناسبة تمنح الثقة للأطراف المعنية. يشتمل نظام إدارة أمن معلومات ISO 27001 على هيكل الشركة والسياسات وأنشطة التخطيط والمسؤوليات والتطبيقات والإجراءات والعمليات والموارد ، وتستند معايير نظام إدارة أمن المعلومات ISO 27001 و ISO 27002 إلى معيار BS 7799. تم نشر BS 7799 BSI (المعهد البريطاني للمعايير) في 1995 ويتكون من جزأين. الجزء الأول ، BS 7799-1 ، تضمن أفضل الممارسات لإدارة أمن المعلومات. في 2000 ، تم اعتماد هذا المعيار بواسطة ISO ونشرت على أنه ISO 17799 تقنية المعلومات - مبادئ التطبيق لإدارة أمن المعلومات. تم دمج ISO 17799 2007 في سلسلة ISO 27000 باسم ISO 27002. تم إصدار الجزء الثاني بواسطة BSI في 7799 تحت اسم BS 2 1999 متطلبات نظام إدارة أمن المعلومات. ركز هذا المعيار على كيفية إنشاء ISMS. في 2005 ، تم نشره بواسطة ISO تحت اسم متطلبات نظام إدارة أمن معلومات ISO 27001. إعتماد ISO-27001 ونشرت أحدث المراجعات لمعايير 27002 على 25.09.2013.
ISO / IEC 27001: تحدد 2013 متطلبات التثبيت والتنفيذ والتنفيذ والتحسين المستمر لنظام إدارة أمن المعلومات ضمن نطاق المنظمة. كما يتضمن متطلبات لتقييم وتحسين مخاطر أمن المعلومات المرتبطة باحتياجات المنظمة. ISO / IEC 27001: المتطلبات الواردة في 2013 عامة وتهدف إلى أن تكون قابلة للتطبيق على الجميع ، بغض النظر عن نوع المنظمات وحجمها وطبيعتها. تتطلب ISO 27001 من المؤسسات إعداد خطط إدارة المخاطر ومعالجة المخاطر والمهام والمسؤوليات وخطط استمرارية العمل وإجراءات إدارة الحوادث الطارئة والاحتفاظ بسجلات لها في الممارسة. يجب أن تصدر الهيئة سياسة لأمن المعلومات تتضمن كل هذه الأنشطة وتوعية موظفيها بأمن المعلومات والتهديدات. لا يمكن تحقيق إدارة أمن المعلومات إلا بدعم نشط من الإدارة ومشاركة الموظفين كعملية حية يتم فيها قياس أهداف المراقبة المحددة ومراقبة الامتثال والأداء للضوابط باستمرار.
